防止表单重复提交方法

举报
轻狂书生FS 发表于 2020/12/02 23:12:20 2020/12/02
【摘要】 1.背景与介绍: 平时开发的项目中可能会出现下面这些情况: 由于用户误操作,多次点击表单提交按钮。由于网速等原因造成页面卡顿,用户重复刷新提交页面。黑客或恶意用户使用postman等工具重复恶意提交表单(攻击网站)。 这些情况都会导致表单重复提交,造成数据重复,增加服务器负载,严重甚至会造成服务器宕机。因此有效防止表单重复提交有一定的必要性。 2.解决方案 2.1 通...

1.背景与介绍:

平时开发的项目中可能会出现下面这些情况:

  1. 由于用户误操作,多次点击表单提交按钮。
  2. 由于网速等原因造成页面卡顿,用户重复刷新提交页面。
  3. 黑客或恶意用户使用postman等工具重复恶意提交表单(攻击网站)。

这些情况都会导致表单重复提交,造成数据重复,增加服务器负载,严重甚至会造成服务器宕机。因此有效防止表单重复提交有一定的必要性。

2.解决方案

2.1 通过JavaScript屏蔽提交按钮(不推荐)

通过js代码,当用户点击提交按钮后,屏蔽提交按钮使用户无法点击提交按钮或点击无效,从而实现防止表单重复提交。

ps:js代码很容易被绕过。比如用户通过刷新页面方式,或使用postman等工具绕过前段页面仍能重复提交表单。因此不推荐此方法。


  
  1. <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
  2. <!DOCTYPE HTML>
  3. <html>
  4. <head>
  5. <title>表单</title>
  6. <script type="text/javascript">
  7. //默认提交状态为false
  8. var commitStatus = false;
  9. function dosubmit(){
  10. if(commitStatus==false){
  11. //提交表单后,讲提交状态改为true
  12. commitStatus = true;
  13. return true;
  14. }else{
  15. return false;
  16. }
  17. }
  18. </script>
  19. </head>
  20. <body>
  21. <form action="/path/post" onsubmit="return dosubmit()" method="post">
  22. 用户名:<input type="text" name="username">
  23. <input type="submit" value="提交" id="submit">
  24. </form>
  25. </body>
  26. </html>

2.2 给数据库增加唯一键约束(简单粗暴)

在数据库建表的时候在ID字段添加主键约束,用户名、邮箱、电话等字段加唯一性约束。确保数据库只可以添加一条数据。

数据库加唯一性约束sql:

alter table tableName_xxx add unique key uniq_xxx(field1, field2)
 

服务器及时捕捉插入数据异常:


  
  1. try {
  2. xxxMapper.insert(user);
  3. } catch (DuplicateKeyException e) {
  4. logger.error("user already exist");
  5. }

通过数据库加唯一键约束能有效避免数据库重复插入相同数据。但无法阻止恶意用户重复提交表单(攻击网站),服务器大量执行sql插入语句,增加服务器和数据库负荷。

2.3 利用Session防止表单重复提交(推荐)

实现原理:

服务器返回表单页面时,会先生成一个subToken保存于session,并把该subToen传给表单页面。当表单提交时会带上subToken,服务器拦截器Interceptor会拦截该请求,拦截器判断session保存的subToken和表单提交subToken是否一致。若不一致或session的subToken为空或表单未携带subToken则不通过。

首次提交表单时session的subToken与表单携带的subToken一致走正常流程,然后拦截器内会删除session保存的subToken。当再次提交表单时由于session的subToken为空则不通过。从而实现了防止表单重复提交。

使用:

mvc配置文件加入拦截器配置


  
  1. <mvc:interceptors>
  2. <mvc:interceptor>
  3. <mvc:mapping path="/**"/>
  4. <bean class="xxx.xxx.interceptor.AvoidDuplicateSubmissionInterceptor"/>
  5. </mvc:interceptor>
  6. </mvc:interceptors>

拦截器


  
  1. package xxx.xxxx.interceptor;
  2. import xxx.xxx.SubToken;
  3. import org.apache.struts.util.TokenProcessor;
  4. import org.springframework.web.method.HandlerMethod;
  5. import org.springframework.web.servlet.handler.HandlerInterceptorAdapter;
  6. import javax.servlet.http.HttpServletRequest;
  7. import javax.servlet.http.HttpServletResponse;
  8. import java.lang.reflect.Method;
  9. public class AvoidDuplicateSubmissionInterceptor extends
  10. HandlerInterceptorAdapter {
  11. public AvoidDuplicateSubmissionInterceptor() {
  12. }
  13. @Override
  14. public boolean preHandle(HttpServletRequest request,
  15. HttpServletResponse response, Object handler) throws Exception {
  16. if (handler instanceof HandlerMethod) {
  17. HandlerMethod handlerMethod = (HandlerMethod) handler;
  18. Method method = handlerMethod.getMethod();
  19. SubToken annotation = method
  20. .getAnnotation(SubToken.class);
  21. if (annotation != null) {
  22. boolean needSaveSession = annotation.saveToken();
  23. if (needSaveSession) {
  24. request.getSession(false)
  25. .setAttribute(
  26. "subToken",
  27. TokenProcessor.getInstance().generateToken(
  28. request));
  29. }
  30. boolean needRemoveSession = annotation.removeToken();
  31. if (needRemoveSession) {
  32. if (isRepeatSubmit(request)) {
  33. return false;
  34. }
  35. request.getSession(false).removeAttribute("subToken");
  36. }
  37. }
  38. }
  39. return true;
  40. }
  41. private boolean isRepeatSubmit(HttpServletRequest request) {
  42. String serverToken = (String) request.getSession(false).getAttribute(
  43. "subToken");
  44. if (serverToken == null) {
  45. return true;
  46. }
  47. String clinetToken = request.getParameter("subToken");
  48. if (clinetToken == null) {
  49. return true;
  50. }
  51. if (!serverToken.equals(clinetToken)) {
  52. return true;
  53. }
  54. return false;
  55. }
  56. }

控制层 controller


  
  1. @RequestMapping("/form")
  2. //开启一个Token
  3. @SubToken(saveToken = true)
  4. public String form() {
  5. return "/test/form";
  6. }
  7. @RequestMapping(value = "/postForm", method = RequestMethod.POST)
  8. @ResponseBody
  9. //开启Token验证,并且成功之后移除当前Token
  10. @SubToken(removeToken = true)
  11. public String postForm(String userName) {
  12. System.out.println(System.currentTimeMillis());
  13. try{
  14. System.out.println(userName);
  15. Thread.sleep(1500);//暂停1.5秒后程序继续执行
  16. }catch (InterruptedException e) {
  17. e.printStackTrace();
  18. }
  19. System.out.println(System.currentTimeMillis());
  20. return "1";
  21. }

表单页面


  
  1. <%@ page contentType="text/html;charset=UTF-8" language="java" %>
  2. <html>
  3. <head>
  4. <title>Title</title>
  5. </head>
  6. <body>
  7. <form method="post" action="/postForm">
  8. <input type="text" name="userName">
  9. <input type="hidden" name="subToken" value="${subToken}">
  10. <input type="submit" value="提交">
  11. </form>
  12. </body>
  13. </html>

2.4使用AOP自定义切入实现

实现原理:

  1. 自定义防止重复提交标记(@AvoidRepeatableCommit)。
  2. 对需要防止重复提交的Congtroller里的mapping方法加上该注解。
  3. 新增Aspect切入点,为@AvoidRepeatableCommit加入切入点。
  4. 每次提交表单时,Aspect都会保存当前key到reids(须设置过期时间)。
  5. 重复提交时Aspect会判断当前redis是否有该key,若有则拦截。

自定义标签


  
  1. import java.lang.annotation.*;
  2. /**
  3. * 避免重复提交
  4. * @author hhz
  5. * @version
  6. * @since
  7. */
  8. @Target(ElementType.METHOD)
  9. @Retention(RetentionPolicy.RUNTIME)
  10. public @interface AvoidRepeatableCommit {
  11. /**
  12. * 指定时间内不可重复提交,单位毫秒
  13. * @return
  14. */
  15. long timeout() default 30000 ;
  16. }

自定义切入点Aspect


  
  1. /**
  2. * 重复提交aop
  3. * @author hhz
  4. * @version
  5. * @since
  6. */
  7. @Aspect
  8. @Component
  9. public class AvoidRepeatableCommitAspect {
  10. @Autowired
  11. private RedisTemplate redisTemplate;
  12. /**
  13. * @param point
  14. */
  15. @Around("@annotation(com.xwolf.boot.annotation.AvoidRepeatableCommit)")
  16. public Object around(ProceedingJoinPoint point) throws Throwable {
  17. HttpServletRequest request = ((ServletRequestAttributes)RequestContextHolder.currentRequestAttributes()).getRequest();
  18. String ip = IPUtil.getIP(request);
  19. //获取注解
  20. MethodSignature signature = (MethodSignature) point.getSignature();
  21. Method method = signature.getMethod();
  22. //目标类、方法
  23. String className = method.getDeclaringClass().getName();
  24. String name = method.getName();
  25. String ipKey = String.format("%s#%s",className,name);
  26. int hashCode = Math.abs(ipKey.hashCode());
  27. String key = String.format("%s_%d",ip,hashCode);
  28. log.info("ipKey={},hashCode={},key={}",ipKey,hashCode,key);
  29. AvoidRepeatableCommit avoidRepeatableCommit = method.getAnnotation(AvoidRepeatableCommit.class);
  30. long timeout = avoidRepeatableCommit.timeout();
  31. if (timeout < 0){
  32. //过期时间5分钟
  33. timeout = 60*5;
  34. }
  35. String value = (String) redisTemplate.opsForValue().get(key);
  36. if (StringUtils.isNotBlank(value)){
  37. return "请勿重复提交";
  38. }
  39. redisTemplate.opsForValue().set(key, UUIDUtil.uuid(),timeout,TimeUnit.MILLISECONDS);
  40. //执行方法
  41. Object object = point.proceed();
  42. return object;
  43. }
  44. }

 2.5 使用redis计数器防止并发请求

需求描述

      最近项目中有个需求,短信发送的并发请求问题:业务需求是需要限制一个号码一分钟内只能获取一次随机码,之前的实现是短信发送请求过来后,先去数据库查询发送记录,根据上一次的短信发送时间和当前时间比较,如果时间差小于一分钟,则提示短信获取频繁,如果超过一分钟,则发送短信,并记录短信发送日志。

问题分析

      短信发送是一个很敏感的业务,上面的实现存在一个并发请求的问题,当同一时间有很多请求过来时,同时去查库,同时获取到上一次发送时间没有,或者已超过一分钟,这时候就会重复发送短信了。

使用Redis incr解决问题

      Redis incr 可以实现原子性的递增,可应用于高并发的秒杀活动、分布式序列号生成等场景。这里我使用它来计数实现一分钟内只接受一次请求。

      实现逻辑也很简单:我们在接到短信发送请求后,使用Redis的incr设置一个递增KEY(KEY由固定字符串+手机号码组成),并判断该KEY的数值,如果等于1,说明是第一个请求,我们将该KEY值有效期设置为一分钟;如果该KEY的数值大于1,说明是1分钟内的多次请求,这时我们直接返回短信获取频繁,代码如下:


  
  1. String redisKey = "SMS_LIMIT_" + smsPhone;
  2. long count = redisTemplate.opsForValue().increment(redisKey, 1);
  3. if (count == 1) {
  4. //设置有效期一分钟
  5. redisTemplate.expire(redisKey, 60, TimeUnit.SECONDS);
  6. }
  7. if (count > 1) {
  8. resultMap.put("retCode", "-1");
  9. resultMap.put("retMsg", "每分钟只能发送一次短信");
  10. outPrintJson(resultMap);
  11. return;
  12. }
  13. /** 发送短信 */
  14. ......
  15. /** 记录发送日志 */
  16. ......

以上内容来自

https://www.cnblogs.com/huanghuizhou/p/9153837.html

http://pengl.com.cn/2017/09/26/%E4%BD%BF%E7%94%A8Redis%E8%AE%A1%E6%95%B0%E5%99%A8%E9%98%B2%E6%AD%A2%E5%B9%B6%E5%8F%91%E8%AF%B7%E6%B1%82/

感谢博主!

 

文章来源: blog.csdn.net,作者:轻狂书生FS,版权归原作者所有,如需转载,请联系作者。

原文链接:blog.csdn.net/LookForDream_/article/details/90242407

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

举报
请填写举报理由
0/200